您可以在安全告警处理页面查看和处理已检测出的告警事件。

背景信息

云安全中心检测出安全告警事件后,会在控制台安全告警处理页面展示相关告警信息。

如果告警事件未被处理,会展示在安全告警处理页面的待处理告警列表中。告警事件处理完成后,将从待处理告警状态转化为已处理

说明 云安全中心在安全告警处理页面为您一直保留待处理告警已处理告警记录。默认展示待处理告警记录。
待处理告警列表

查看告警事件

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击威胁检测 > 安全告警处理
  3. 安全告警处理列表中,查看或搜索所有检测到的入侵和威胁告警及其详细信息。
    告警列表

    您可以根据需要进行以下操作:

    • 您可以使用搜索和页签筛选功能快速定位到目标事件。例如,通过输入告警或资产名称、筛选告警严重等级、事件状态或告警类型来搜索相关的告警事件。告警类型的具体内容请参见安全告警类型列表
    • 您可以查看云安全中心为您自动处理的告警。将搜索条件选择为已处理后,状态选择拦截成功可查看云安全中心为您自动隔离的常见网络病毒。自动防御告警
    • 您可以将鼠标移动到告警名称右侧的标签上,查看该告警的攻击溯源或关联异常等信息。

      以下是告警名称右侧标签的说明:

      • 攻击溯源图标:攻击溯源图标。云安全中心攻击溯源功能结合多种云产品日志,通过大数据分析引擎对数据进行加工、聚合、可视化,形成攻击者入侵的链路图,帮助您在最短时间内定位入侵原因和制定应急决策。您可以单击攻击溯源图标图标跳转至溯源页面。更多信息请参见攻击溯源
      • 事件调查图标:事件调查图标。事件调查是入侵调查的工作平台,可视化调查黑客攻击过程,定位攻击源IP,分析入侵原因,助力您快速掌握入侵影响面,进行安全加固。您可以单击事件调查图标图标跳转至事件调查页面。
      • 关联异常图标:关联异常图标。将鼠标移动到该图标上,您可以查看当前告警关联异常的数量。
      • 攻击阶段图标:攻击阶段图标。攻击入口、载荷投递、权限提升、逃避检测、权限维持、横向移动、远程控制、数据泄露、痕迹清理、影响破坏是病毒攻击的阶段。您可以通过攻击阶段图标获当前服务器受到病毒攻击的阶段,帮助您快速掌握资产的安全状态。
      • 已防御图标:已防御图标。告警上标有已防御图标说明病毒文件的恶意进程已被云安全中心实时拦截,当前已无法对您的业务造成危害,建议您尽快隔离该病毒文件。
    • 安全告警处理页面中单击告警事件的名称,打开该告警事件的详情页面,可以查看其详情和该告警的自动化关联信息,帮助您更便捷和全面地分析威胁事件、快速定位攻击来源地址和分析攻击行为的路径。有关告警自动化关联的具体内容,请参见查看告警自动化关联分析。有关告警溯源的具体内容,请参见攻击溯源

处理告警事件

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击威胁检测 > 安全告警处理
  3. 安全告警处理页面,定位到目标告警事件,单击操作栏的处理
    说明 如果告警事件包含多个关联异常,单击处理,会打开该告警事件的详情页面,您可对不同的异常事件分别进行处理。详细内容请参见查看告警自动化关联分析
  4. 选择当前告警的处理方式。
    云安全中心告警处理页面

    以下是对可选的处理方式的说明。

    • 病毒查杀:仅限对恶意进程(云查杀)执行结束进程、隔离该进程源文件的操作。确认告警信息后,选择结束该进程的运行可以结束该进程的运行。选择隔离该进程的源文件可将病毒文件加入文件隔离箱,被隔离的文件将无法对服务器造成安全威胁。被隔离文件的详细信息请参见文件隔离箱
      注意 被成功隔离的文件在30天内可执行一键恢复,恢复的文件将重新回到安全告警列表中,由云安全中心继续对该文件进行监测。文件隔离30天后云安全中心会自动清除该文件。
    • 深度查杀:仅限对恶意进程(云查杀)执行深度清除病毒文件的操作。您可以单击该功能下的查看详情,查看并确认待清除列表信息。
    • 隔离:仅限对网站后门-发现后门(Webshell)文件执行隔离网站后门文件的操作。选择隔离后,网站后门文件将被隔离到文件隔离箱,将无法对业务产生危害。
    • 阻断:仅限对恶意进程(云查杀)-访问恶意IP执行阻断的操作。
      您可以查看处理详情并设置规则有效期阻断
    • 加白名单:如果告警为误报,您可以将本次告警加入白名单,并设置加入白名单的规则。例如,选择加白名单后,您设置了登录源IP包含10.XX.XX.198的加白规则,则该告警状态将变为已处理,后续云安全中心不会再对来源于10.XX.XX.198的登录进行告警。您可以在已处理列表中定位到该事件对其进行取消白名单的操作。 高级加白方式
      说明

      以上示例中的10.XX.XX.198为IP地址脱敏的显示效果,实际配置时请使用真实的IP地址。

      加白名单操作仅对当前告警和您设置的白名单规则进行加白。执行加入白名单操作后,针对您加入白名单的事件和设置的白名单规则,云安全中心都不会再产生对应的安全告警。云安全中心支持加入白名单的对象详情请参见安全告警可以将哪些对象加入白名单?

      告警误报是指系统对正常程序进行告警。常见的告警误报有对外异常TCP发包可疑进程,提示您服务器上有进程在对其他设备发起了疑似扫描行为。

    • 忽略:忽略本次告警,该告警状态将变为已处理,后续云安全中心不会再对该事件进行告警。
    • 同时处理相同告警:对多个告警事件进行批量处理。 批量处理告警事件前,请详细了解告警事件的信息。
  5. 单击立即处理
  6. 可选:如果您已确认一个或多个告警事件需要忽略或为误报,可在安全告警处理页面,选中一个或多个告警事件,直接进行忽略本次加白名单处理。
    忽略或加白

安全威胁防御限制说明

云安全中心支持安全告警实时检测与处理、漏洞检测与一键修复、攻击分析、云平台安全配置检查等功能,结合告警关联分析和攻击自动化溯源,帮助您全面加固系统和资产的安全防线。在云安全中心提供的防御能力以外,建议您定期更新服务器安全系统补丁、配合使用云防火墙、Web应用防火墙等产品缩小网络安全威胁的攻击范围,实时预防,不让黑客有任何可乘之机。

说明 由于网络攻击手段、病毒样本在不断演变,实际的业务环境也有不同差异,因此无法保证能实时检测防御所有的未知威胁,建议您基于安全告警处理、漏洞、基线检查、云平台配置检查等安全能力,提升整体安全防线,预防黑客入侵、盗取或破坏业务数据。